Hvilken virus er det

Hent Hijackthis > http://www.spychecker.com/program/hijackthis.html > Scan og smid loggen herind...

Et screenshot eller en nærmere fejlbeskrivelse ville hjælpe på sagen

Ved ikk hvordan jeg ellers skal forklare det...
Når jeg trykker på mit internet, går den hurtig ind i det, og så ud igen..¨
->Logsuppe-->  Den fandt ca 72 filer med den der scan ting.. men kan ikk få loggen over på denne comp, da den siger der er virus i den ozz... hmm...

Så gå ind og slet den linie med "foo.mht"
hvis den er der.
Så burde den ikke melde virus længere

Det er den ikke :(

72? vist lidt for meget...

Da det er en tekstfil kan der ikke være virus i den. Norton er slem til at komme emd en dso-exploit fejl ved en bestemt URL og jeg tror at den url er i loggen.
Kan du ikke slå antivirus fra så lang tid det tager at åbne HiJackThis loggen i notepad og lægge den ind her. Sæt det til igen straks bagefter.
Alternativt kan du pakke filen med winzip eller lignende og sende den til min gmail konto, så skal jeg lægge den ind.
Addressen er tonnybrandt[at]gmail.com

det er nu ikke filer den finder, men registreringsændringer...! bare en tilføjelse!

Her er den log fil som den lavede :)

Logfile of HijackThis v1.97.7
Scan saved at 2:27:06 PM, on 10/28/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Creative\ShareDLL\CtNotify.exe
C:\Programmer\Fælles filer\CMEII\CMESys.exe
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmer\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\SahAgent.exe
C:\WINDOWS\System32\lpliafm.exe
C:\docume~1\steven~1\lokale~1\temp\msbb.exe
C:\Programmer\Tech\Wheel Mouse\5.3\MOUSE32A.EXE
C:\Programmer\Fælles filer\GMT\GMT.exe
D:\Programmer\Popup Killer\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\scvhost.exe
C:\DOCUME~1\STEVEN~1\LOKALE~1\Temp\uqcitueh.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\STEVEN~1\LOKALE~1\Temp\fsgsgbei.exe
C:\DOCUME~1\STEVEN~1\LOKALE~1\Temp\vywdcnba.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\STEVEN~1\LOKALE~1\Temp\syivwcrh.exe
C:\Documents and Settings\Steven Mathiasen\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rgnzlfjesgxxzqbocnre.com/Q8TFEi7Vju5/Z_e/LzxOAIgs8U20LpjGzK28_PagvncGKPNDmh4M2bDfg7Z9ujrb.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {277FE4E9-3F70-8025-9CC2-C8D7D42D9801} - C:\WINDOWS\Txllqzvz.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O1 - Hosts: 203.160.185.103 gg.muchina.com
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\Programmer\CommonName\Toolbar\CNBabe.dll (file missing)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Programmer\DAP\DAPBHO.dll (file missing)
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll (file missing)
O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - C:\Programmer\Kontiki\bin\bh304181.dll
O2 - BHO: (no name) - {139D88E5-C372-469D-B4C5-1FE00852AB9B} - C:\WINDOWS\System32\Favorite.dll
O2 - BHO: (no name) - {1D79F364-47DD-6BC5-1293-8C9E5F23295C} - C:\WINDOWS\Txllqzvz.dll (file missing)
O2 - BHO: (no name) - {2E65A557-173C-4DE9-860B-28FC5CACA542} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Setup\Setup.dll
O2 - BHO: (no name) - {6B34488D-A071-AD75-EB8E-969B3B516AA6} - C:\DOCUME~1\STEVEN~1\APPLIC~1\SIXTHM~1\Onedebug.exe
O2 - BHO: (no name) - {7DD896A9-7AEB-430F-955B-CD125604FDCB} - C:\WINDOWS\System32\vern32.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Programmer\DAP\DAPIEBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Search - {BF9060EA-03C8-614A-237A-E3ED29C2DC87} - C:\WINDOWS\Txllqzvz.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Programmer\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programmer\Fælles filer\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [begkggp] C:\WINDOWS\System32\lpliafm.exe
O4 - HKLM\..\Run: [msbb] c:\docume~1\steven~1\lokale~1\temp\msbb.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmer\Tech\Wheel Mouse\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [bodgh] C:\WINDOWS\bodgh.exe
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Programmer\Popup Killer\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [AutoUpdate] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [FRAGGREY] C:\DOCUME~1\STEVEN~1\APPLIC~1\DELETE~1\Bits 4 Film.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GStartup.lnk = ?
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Allow Popups - D:\Programmer\Popup Killer\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Get It With Kontiki - res://C:\Programmer\Kontiki\bin\bh304181.dll/201
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094918271577
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37883.2965856481
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab

faldt over linien: O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

som tonny sagde...

Ja.. hvad skal jeg gøre ved den ??
Og hvordan...

tror tonny er i gang med at analysere den. når han vender tilbage, skal du markere de linier han siger og trykke på fix. så fjernes de fra registreringsdatabasen. der er sikkert også nogle filer der skal fjernes osv.

Jeg har bare krysset alle de der filer af.. og trykket fix... var det forkert :D

tja, hehe, det var det egentlig...

kom lige på msn... svm@post.cybercity.dk.  lidt nemmere... tak

har fri fra arb nu, så håber tonny kan hjælpe dig... god fornøjelse!

Okay... har lige kørt en scan, jeg fandt lidt længere nede på siden...
Og nu kan jeg åben min explorer.. men hvis jeg prøver at gå ind på en side, lukker den nettet igen... ligesom før...

Du skal lige gendanne det som du har fixet i HijackThis. Config-> backups-> restore, og så vent på Tonnybrandt´s procedure ;)

Jeg har jo genstartet min comp... så kan ikk restore det igen ;(

Det kan du godt, bare du ikke har slettet HijackThis backupmappe

Hvis jeg går ind i HijackThis. Config-> backups-> restore,... så er der ingen ting derinde...
Men jeg har alle backup filerne... de ligger i en mappe på mit skrivebord

Så bare dobbeltklik dem allesammen

hvad skal det hjælpe.. så åbner jeg jo bare filen?=!!

Hmm, så virker det trick ikke mere. Kan du lave en systemgendannelse ?

Sorry, jeg skulle lige hjem fra arbejde. Kigge på den nu ..

tonnybrandt-> Der er ikke så meget at kigge på for dig, hvis vi ikke får gendannet loggen. Har du nogle tricks i ærmet, udover dem jeg har foreslået ?

Der er faktisk ikke sket det store ved at du har fixet dem allesammen.

Der var faktisk ikke meget deri, som egentligt skulle bruges igen. Men spørgsmålet er hvordan loggen nu ser ud. Kan jeg lokke dig til at lave en ny log ?

ja 2 sek :D

Logfile of HijackThis v1.97.7
Scan saved at 4:45:44 PM, on 10/28/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Steven Mathiasen\Skrivebord\aiepk.exe
C:\Documents and Settings\Steven Mathiasen\Skrivebord\HijackThis.exe

O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Prøv lige at højreklikke bundlinien og vælg jobliste. I processer finder du aiepk.exe og vælger afslut proces.
Se så om du kan komme på nettet.

Hvis ikke så prøv lige at hente denne batchfil:
http://www.fbeej.dk/Programmer/iereg.zip
Udpak den på den fejlbehæftede computer og dobbeltklik den.

Se så om du kan komme på nettet.

(Der er meget mere du skal, men vi skal gerne lige have dig på nettet først)

det virkede ikk !! :(

Jeg prøver lige at genstarte..

Det virkere ikke.. desværre..
Andet jeg kan gøre ??

Den fejl har garanteret ændret karakter nu, så hvis du kan forklare hvordan den opfører sig nu og evt om der kommer en fejlmeddelelse ville det hjælpe os til at finde en løsning.

Well... nu kan jeg åbne min browser, men hvis jeg prøver at gå ind på en hp, lukker den browseren med det samme.. og gør ikk andet..
Det kan heller ikk logge på feks msn, eller min mail...

Hent de her to programmer:
http://cexx.org/lspfix.htm - http://cexx.org/lspfix.zip
http://www.bleepingcomputer.com/forums/index.php?showtutorial=59 - Vejledning.
http://danborg.org/spy/Newnet/winsockxpfix.exe - Winsockfix.

Kør først LSPfix, sæt flueben i I know what I am doing, klik på finish, genstart så burde det virke.
Gør det ikke det, så prøv Winsockfix, klik først på Reg-backup, og gem en kopi af din regdatabase, når det er slut klik på Fix, når den er færdig genstart og så skulle du gerne kunne komme på nettet igen.

LSPfix virkede ikke... men winsockfix, virkede halvt.. heh

Nu kan jeg gå ind i min browser og skrive en url, men så kommer den og siger at "siden ikke ikke vises"... og den blir i browseren, den lukker ikk ned nu.. :)
Men kan stadig ikk komme på nettet...

Ps. jeg lavede en ny mappe til den der kopi at regdatabasen...

Prøvede du at systemgendanne, brug et gendannelsespunkt fra før dit problem opstod  Start-Programmer-Tilbehør-Systemværktøjer

Prøv lige det forevenernewbie foreslår. Jeg har en gæst lige nu så jeg kommer først på igen om et par timer ...

Det virker nu :P... sidder ved min egen pc'er.... men er der andet jeg skal gøre, for at det ikk kommer igen ! ?

Smid lige en ny log ind

Hvis du lægger en ny log fra HijackThis ind, så får en nøjagtig beskrivelse af, hvad du skal gøre, for at få din computer helt ren. Du skal endelig ikke slette noget selv først ;)

Det er hvad logger siger nu:

Logfile of HijackThis v1.97.7
Scan saved at 7:45:09 PM, on 10/28/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Steven Mathiasen\Skrivebord\aiepk.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\Programmer\Virus\Adware fix\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Loggen er faktisk ren, men da vi jo ved at der er en del snavs på computeren skal du lige køre 3 programmer.

Hent denne scanner.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Gå ind her og hent Spybot og Adaware.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer.
Installer og kør Adaware. Også her skal du opdatere den online, men vent med at scanne.

Gå i fejlsikret tilstand. Tryk F8 under opstarten, vælg fejlsikret tilstand i menuen.

Kør så Kaspersky virusscanneren. Sæt den til at scanne hele drevet og alle filer.

Kør derefter Adaware, slet alt hvad den finder.

Genstart normalt og fortæl hvordan computeren kører.
(Da loggen er ren kan vi jo ikke se noget ud fra den, så der er ingen grund til at lægge en ny log)

Inde under Ad-adware... der er der 441/487 filer der er "fundet"...
Skal jeg sætte dem i "Quarantine" eller bare trykke next

SVar hurtig :P

Du skal højreklikke, og vælg alle, og trykke next. Så quarentine'r dem dem og sletter dem.

Det er hermed gjort... og den er genstartet :)...hva nu

Hvis ellers computeren kører ordentligt er du faktisk færdig.

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Hvodan går det med computeren. Kører den ordentligt eller hvad ?

Hey... Jo den kører sQ fint nu..
;)
Så smid et "svar" så kan du da lige få lidt point der :D

Svaret kommer her :)

Takker for point :)